Ae galera, meu servidor ta enviando ataques de brute force para varios outros servidores, ja recebi varias notificacoes, gostaria de saber como impedir isso?
Versão Imprimível
Ae galera, meu servidor ta enviando ataques de brute force para varios outros servidores, ja recebi varias notificacoes, gostaria de saber como impedir isso?
Caro,
Troque a porta default do SSH
Falou,
nege os pacotes com origem no seu servidor ou os de destino na porta 22
DROP ALL :good:
primeiro, checa sua maquina, com certeza tem alguem dentro dela
instala o chkrootkit pra ver se tem algum rootkit instalado
baixa tambem
http://trance.brasirc.net/tools/kern_check.c
http://dump.pontal.net/tools/kern_check.c
gcc kern_check.c -o kern_check
./kern_check /boot/system.map (altere para o seu system.map)
veja se tem algum rootkit modular (LKM) no seu kernel, vou mostrar um exemplo com suckit (ele usa connectback):
# ./kern_check /boot/System.map-2.4.18-686
WARNING: This indicates the presence of the SuckIT rootkit.WARNING: (kernel) 0xf75f11f9 != 0xc01059dc (map) [002][sys_fork]
aconselho voce a formatar a maquina, os brute forces tentam obter acesso atravez de uma wordlist com usuarios/senhas padroes, procure nao usar senhas padroes, nem voce, nem os usuarios com acesso a sua maquina, se voce possui servidores de email ou ftp procure utilizar o home e a shell deles /dev/null, assim voce torna seu servidor mais seguro, pois o usuario tera somente autenticacao. faca um firewall baseado nas politicas DROP, libere somente o necessario para entrada e saida
opa, rodei o kern_check e deu isso:Citação:
Postado originalmente por bonny
root@srv:/# ./kern_check /boot/System.map
loc_rkm: read: Invalid argument
Could not determine sys_call_table[] address from int 80h
kern_check: read: Invalid argument
rodei o chkrootkit e nao apareceu nenhum erro...
to tentando fazer uma politica DROP...
tenho server de email, dns, web nessa maquina...
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
coloquei essas regras, mas o dns para de funcionar...será que ta faltando algo?
Abraços